Garante per i dati personali - 19/12/2018 - n. 512 art. 1 - Ambito di applicazione

Considerazioni generali: dal Codice di Deontologia alle Regole Deontologiche

L'art. 20, comma 4 d.lgs. n. 101/2018 ha demandato al Garante il compito di effettuare, nel termine di novanta giorni dall'entrata in vigore del decreto stesso, una verifica della conformità al Regolamento delle disposizioni contenute in alcuni codici deontologici ivi indicati, tra cui quelle contenute nel Codice di Deontologia adottato il 6 novembre 2008, già Allegato 6 al cod. privacy.

Al termine della suddetta procedura di verifica, per mezzo del Provvedimento n. 512/2018, il Garante ha effettivamente accertato la necessità che la valutazione di compatibilità delle disposizioni del Codice di Deontologia con il Regolamento non potesse prescindere da una loro lettura che tenesse conto del mutato quadro normativo di riferimento in materia di protezione dei dati personali.

Per tali ragioni, con il Provvedimento n. 512/2018 il Garante ha approvato e pubblicato le Regole Deontologiche, in sostituzione del precedente Codice di Deontologia.

Nell'ambito della valutazione delle disposizioni del precedente Codice Deontologico, il Garante ha in particolare avuto modo di accertare:

• che i richiami al Codice Privacy contenuti in alcune disposizioni del Codice di Deontologia, nonché la terminologia utilizzata, necessitavano di essere opportunamente aggiornati ai sensi delle corrispondenti disposizioni del Regolamento e del medesimo d.lgs. n. 196/2003;

• la necessità di espungere il preambolo del Codice di Deontologia, dovendosi, in base al richiamato art. 20 d.lgs. n. 101/2018, ridenominare solo le disposizioni dello stesso. Il preambolo, invece, nel sintetizzare le condizioni di liceità del trattamento, evidenziava, altresì, i presupposti della sottoscrizione del Codice di Deontologia, nel rispetto del principio di rappresentatività, che, comunque, rimane alla base delle Regole Deontologiche.

È stata, inoltre, eliminata la previsione riguardante il monitoraggio periodico del Codice di Deontologia.

La terminologia utilizzata

Per quanto concerne la terminologia utilizzata, il Garante ha espunto dalle Regole Deontologiche ogni riferimento ai principi di “pertinenza”, di “completezza” e di “non eccedenza” di cui all'abrogato art. 11 del codice privacy, lasciando invece spazio all'applicazione dei principi di liceità, di proporzionalità e di minimizzazione di cui all'art. 5 del Regolamento (cfr. art. 2, paragrafo 5 delle Regole Deontologiche).

Sempre con riferimento alla terminologia, il Garante ha anche provveduto a uniformare al Regolamento e al Codice Privacy il riferimento ad alcuni soggetti, quali gli “incaricati del trattamento”, provvedendo a sostituire tale concetto con quello di “persone autorizzate al trattamento” (cfr. art. 2, paragrafo 3 delle Regole Deontologiche).

Sono stati inoltre eliminati anche i richiami a disposizioni di legge oramai abrogate del d.lgs. n. 196/2003, per inserire invece i corretti riferimenti normativi del GDPR – come, ad esempio, in tema di modalità di trattamento (cfr. art. 2 delle Regole Deontologiche), informativa unica sul trattamento dei dati personali (cfr. art. 3 delle Regole Deontologiche), conservazione e cancellazione dei dati trattati (cfr. art. 4 delle Regole Deontologiche), comunicazione e diffusione dei dati (cfr. art. 5 delle Regole Deontologiche).

Il preambolo del Codice di Deontologia

Tra le varie modifiche introdotte, è interessante notare che il Garante ha provveduto ad espungere dal nuovo corpus delle Regole Deontologiche il preambolo che era invece presente nel precedente Codice di Deontologia.

Nel preambolo venivano principalmente sintetizzate le condizioni di liceità del trattamento ed evidenziati, altresì, i presupposti della sottoscrizione del Codice di Deontologia, nel rispetto del principio di rappresentatività, in base al quale si prevedeva espressamente che «I sottoindicati soggetti sottoscrivono il presente codice di deontologia e di buona condotta sulla base delle seguenti premesse».

Sebbene il preambolo non sia stato riportato anche nel nuovo testo delle Regole Deontologiche, il rispetto del principio di rappresentatività è e resta comunque alla base delle attuali Regole Deontologiche.

Il monitoraggio dell'attuazione del Codice di Deontologia

Il precedente Codice di Deontologia conteneva una disposizione, l'art. 12, la quale specificava espressamente che «Ai sensi dell'art. 135 cod. privacy, i soggetti che sottoscrivono il presente codice avviano forme di collaborazione per verificare periodicamente la sua attuazione anche ai fini di un eventuale adeguamento alla luce del progresso tecnologico, dell'esperienza acquisita o di novità normative».

Si prevedeva, dunque, un obbligo di monitoraggio del Codice di Deontologia da parte dei suoi sottoscrittori, i quali avrebbero dovuto tenere conto, a tal fine, del progresso tecnologico, dell'esperienza acquisita e delle novità eventualmente intervenute in ambito normativo.

Si segnala che, ai sensi del provvedimento 512/2018, questa previsione di aggiornamento periodico è stata eliminata dal Codice di Deontologia e, conseguentemente, non è stata riportata nel nuovo testo delle Regole Deontologiche.

Questioni applicative

Come sopra richiamato, in una primissima fase di attuazione della nuova normativa a livello europeo, l'intervento di adeguamento del Garante si è principalmente soffermato sulla sola analisi delle disposizioni del vecchio Codice Deontologico e sulla loro compatibilità con i principi e le definizioni del Regolamento.

Sebbene un simile intervento abbia di fatto permesso di aggiornare il vecchio Codice Deontologico in un'ottica di allineamento al nuovo quadro normativo europeo in materia di protezione dei dati personali, bisogna tuttavia constatare che si è trattato di un mero aggiornamento formale del testo normativo, senza altresì intervenire puntualmente al fine di risolvere alcune complesse questioni applicative, alcune delle quali tutt'ora apparentemente irrisolte.

Informativa sul trattamento dei dati personali che non siano stati ottenuti presso l'interessato

Si ritiene opportuno svolgere alcune considerazioni in merito all'obbligo che viene espressamente previsto per i titolari del trattamento di fornire l'informativa sul trattamento dei dati personali nell'ambito dello svolgimento delle investigazioni difensive.

Come sopra evidenziato, con il provvedimento n. 512/2018, il Garante ha espunto dal nuovo corpus delle Regole Deontologiche il preambolo che era presente nel precedente Codice di Deontologia. Al suo interno, fra le altre cose, si collocava anche una previsione che richiamava la possibilità, per i titolari del trattamento, di omettere l'informativa per i dati personali raccolti presso terzi, qualora gli stessi dovessero essere oggetto di trattamento per il solo periodo strettamente necessario per far valere o difendere un diritto in sede giudiziaria o per svolgere investigazioni difensive (cfr. il punto 5, lettera a, del Preambolo del Codice di Deontologia). La medesima previsione specificava, poi, che non dovessero intendersi raccolti presso l'interessato i dati personali provenienti da un rilevamento lecito a distanza, soprattutto in assenza di diretta interazione con l'interessato stesso.

Ciò detto, venendo meno il preambolo, è venuta meno anche la previsione appena citata, con ciò andandosi a creare, a tutta prima, un potenziale vulnus nel nuovo testo delle Regole Deontologiche, dal momento che non sembrerebbe possibile rinvenire al loro interno un riferimento espresso a tale eccezione per i titolari del trattamento dal rendere l'informativa agli interessati.

Ciò nonostante, con specifico riferimento agli investigatori privati, bisogna notare come l'art. 11 delle attuali Regole Deontologiche, richiamando espressamente l'art. 3 delle stesse (con ciò estendendo, anche agli investigatori privati, la possibilità di rendere un'informativa unica secondo le stesse modalità previste per gli avvocati), lascia impregiudicata l'applicazione dell'art. 14 del Regolamento, con specifico riferimento all'ipotesi in cui i dati personali non siano stati raccolti direttamente presso l'interessato.

Tale previsione, sulla base del richiamato art. 14 GDPR e stante la disposizione di cui al paragrafo 5, lettera b) del medesimo articolo, permette di poter arrivare a sostenere che gli investigatori privati sarebbero, ancora oggi, legittimati a non fornire l'informativa sul trattamento dei dati personali direttamente agli interessati, laddove i dati non siano stati raccolti presso questi ultimi, se e nella misura in cui comunicare le informazioni «risulta impossibile o implicherebbe uno sforzo sproporzionato», o nella misura in cui ciò «rischi di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità di tale trattamento. In tali casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, anche rendendo pubbliche le informazioni».

Questo, ovviamente, comporterebbe per il titolare del trattamento l'onere di dover valutare, caso per caso e nel pieno rispetto del principio di accountability, se e in che misura la comunicazione delle informazioni direttamente nei confronti degli interessati risulti impossibile, ovvero implichi uno sforzo sproporzionato, o ancora rischi di rendere impossibile o pregiudicare gravemente lo svolgimento delle investigazioni difensive o la necessità di fare valere o difendere un diritto in sede giudiziaria.

Ebbene, laddove il titolare del trattamento valuti positivamente la sussistenza dei presupposti di cui all'art. 14, paragrafo 5, lett. b) GDPR, questi sarà chiamato ad adottare le misure appropriate per tutelare i diritti, le libertà e i legittimi interessi degli interessati, anche rendendo pubbliche le informazioni, ad esempio proprio secondo le modalità richiamate dal Garante nell'art. 3 delle Regole Deontologiche (a cui, peraltro, l'art. 11 delle medesime Regole rinvia espressamente) – e, quindi, «mediante affissione nei locali dello Studio e, se ne dispone, pubblicazione sul proprio sito Internet, anche utilizzando formule sintetiche e colloquiali».

Bisogna, infine, rilevare come il richiamo espresso all'art. 14 GDPR sia presente solo ed esclusivamente in occasione dell'art. 11 delle Regole Deontologiche – e, conseguentemente, quasi sembrerebbe plausibile sostenere (come fa parte della dottrina) che solo gli investigatori privati sarebbero effettivamente legittimati ad agire, secondo le condizioni stabilite dal legislatore europeo, senza fornire un'informativa agli interessati i cui dati personali siano stati raccolti presso terzi.

Ciò nonostante, il principio espressamente richiamato dall'art. 11 delle Regole Deontologiche e soprattutto previsto dal citato art. 14, paragrafo 5, lett. b) del Regolamento, dovrebbe comunque considerarsi a tutti gli effetti applicabile anche con riferimento agli avvocati – sebbene l'art. 3 delle Regole Deontologiche non ne faccia espressa menzione –, stante la sua portata “generale”, peraltro non escludibile e men che meno assoggettabile a limitazioni applicative ad opera di un provvedimento del Garante.

Informativa sul trattamento dei dati personali ottenuti presso l'interessato

Una considerazione a parte bisogna svolgerla con riferimento all'obbligo che si prevede a carico dell'investigatore privato di fornire l'informativa sul trattamento dei dati personali alla persona presso la quale vengono raccolti i dati stessi.

Sulla base delle indicazioni ad oggi presenti all'interno delle Regole Deontologiche, l'attività investigativa e, conseguentemente, la raccolta di informazioni da parte di un investigatore privato presso l'interessato implicherebbe l'obbligo di informativa ai sensi e per gli effetti dell'art. 13 GDPR, indipendentemente dal fatto che ciò avvenga nel corso di un procedimento ovvero nella fase propedeutica all'instaurazione di un eventuale giudizio. E sulla base del combinato disposto tra gli articoli 11 e 3 delle Regole Deontologiche, l'investigatore privato può anche fornire l'informativa all'interessato «in un unico contesto, anche mediante affissione nei locali dello Studio e, se ne dispone, pubblicazione sul proprio sito Internet, anche utilizzando formule sintetiche e colloquiali».

È tuttavia interessante notare come recentemente il Garante sembrerebbe aver fornito, invece, un'interpretazione maggiormente restrittiva circa l'obbligo di fornire l'informativa all'interessato presso cui i dati personali vengono raccolti. Ci si riferisce, in particolare, al provv. GDPD 12 maggio 2022, n. 187 [doc. web. n. 9789512], in occasione del quale l'Autorità è arrivata a sostenere che una società investigativa aveva condotto la propria attività senza fornire alla reclamante l'informativa dovuta ai sensi dell'art. 13 del Regolamento.

Il caso in questione originava da un reclamo effettuato da un privato cittadino e relativo a un presunto trattamento illecito dei suoi dati personali. In particolare, la reclamante aveva riferito che una collaboratrice della società investigativa si era presentata presso la sede di lavoro della stessa reclamante, fingendo di essere un cliente, ma, in realtà, al solo scopo di svolgere un'attività investigativa e di effettuare riprese video, fotografiche e audiovideo. La reclamante veniva poi a conoscenza dell'attività investigativa solo quando il suo avvocato la contattava per mostrarle un rapporto d'indagine, benché ignorasse a che titolo fosse stata disposta un'indagine nei suoi confronti dalla suddetta società.

A valle dell'istruttoria disposta sul caso in questione, dopo aver accertato che «la raccolta delle informazioni relative alla reclamante, la loro registrazione, elaborazione, inserimento nella relazione investigativa e comunicazione al committente le attività investigative costituiscono trattamento di dati personali», il Garante ha dichiarato di non poter escludere la responsabilità della società investigativa dal momento che i dati personali acquisiti direttamente presso la reclamante «erano stati raccolti illegittimamente per la mancanza di informativa, onde questi non potevano essere utilizzati dall'agenzia investigativa, come prevede l'art. 2-decies del Codice».

In un simile contesto, laddove si arrivasse a sostenere che chi svolge attività investigative sia sempre obbligato a fornire l'informativa ai diretti interessati presso cui vengono raccolti i dati personali (palesando, dunque, anche la propria identità), l'investigatore privato sembrerebbe essere per certi versi penalizzato rispetto ad altre categorie di professionisti che svolgono attività di indagine similari, come ad esempio nel caso del giornalismo d'inchiesta e dell'uso di telecamere nascoste.

A tal riguardo, infatti, le “Regole deontologiche relative al trattamento dei dati personali nell'esercizio dell'attività giornalistica” (provv. GDPD 29 novembre 2018, n. 491 [doc. web n. 9067692]) prevedono espressamente che «Il giornalista che raccoglie notizie per una delle operazioni di cui all'art. 4, n. 2, del Regolamento rende note la propria identità, la propria professione e le finalità della raccolta salvo che ciò comporti rischi per la sua incolumità o renda altrimenti impossibile l'esercizio della funzione informativa». È evidente che, a differenza dell'investigatore privato, al giornalista viene piuttosto riconosciuta la possibilità di svolgere la propria attività e di raccogliere informazioni presso gli interessati senza l'obbligo di dover fornire un'informativa ai sensi dell'art. 13 GDPR, nel caso in cui ciò si ponga come un rischio per la sua incolumità ovvero impedisca l'esercizio della funzione informativa.

Si ritiene, pertanto, che una simile eccezione dovrebbe essere prevista anche nei confronti dell'investigatore privato, al fine di (i) scongiurare che la raccolta delle informazioni oggetto della propria attività investigativa venga di fatto vanificata da un ineludibile obbligo informativo nei confronti dell'interessato e (ii) assicurare l'incolumità dell'investigatore stesso quando l'indagine deve essere ad esempio effettuata in ambienti o situazioni particolarmente pericolosi.

Condizioni di liceità del trattamento

Per quanto concerne le condizioni di liceità del trattamento, le attuali Regole Deontologiche non recano menzione alcuna rispetto a quale, fra le condizioni di liceità richiamate dal GDPR, debba applicarsi in ipotesi di investigazioni difensive o per far valere o difendere o difendere un diritto in sede giudiziaria.

Con specifico riferimento al trattamento delle particolari categorie di dati personali espressamente richiamate all'art. 9 del Regolamento, il paragrafo 2, lettera f) dello stesso articolo individua una puntuale e autonoma condizione di liceità in tal senso, prevedendo espressamente che il divieto di trattamento di tali categorie di dati personali non si applica quando «il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali».

Resta tuttavia da individuare, con riferimento al trattamento delle altre categorie di dati personali che non rientrano nella definizione di cui al sopra citato articolo 9 – e che, per semplicità, definiremo in questo contesto come “dati comuni” – quale tra le condizioni di liceità richiamate all'articolo 6 del GDPR debba applicarsi al caso di specie.

Parte della dottrina ritiene ragionevole individuare tale condizione di liceità nel legittimo interesse di cui all'art. 6, paragrafo 1, lett. f) del Regolamento, ciò implicando, fra le altre cose, anche la necessità di valutare (e provare), tramite un c.d. “balancing test” (o test di bilanciamento), che gli interessi, i diritti e le libertà fondamentali degli interessati non prevalgano sul legittimo interesse del titolare del trattamento o di un terzo (ad esempio, il cliente).

Tale tesi non sembrerebbe essere particolarmente persuasiva.

Bisognerebbe, piuttosto, individuare nell'art. 6, paragrafo 1, lettera e) del Regolamento, la condizione di liceità applicabile al trattamento dei dati personali da parte da parte dell'investigatore privato – ciò, secondo anche quanto confermato dal Garante nel provvedimento del 12 maggio 2022, n. 187 (sopra richiamato), nel cui contesto l'Autorità ha espressamente affermato che «Il rilievo del reclamante di non avere fornito il suo consenso agli investigatori non rileva, in quanto lo svolgimento di attività investigativa (id est, il trattamento dei dati personali) per difendere in giudizio un diritto non richieda il consenso dell'interessato (artt. 6, paragrafo 1, lettera e) e 9, paragrafo 2, lettera f), RGPD)».

Per quanto concerne, invece, il trattamento dei dati personali relativi a condanne penali e reati di cui all'art. 10 del Regolamento, l'art. 2-octies del Codice Privacy, al terzo comma prevede espressamente che, fermo restando quanto sancito dai commi 1 e 2 dello stesso articolo, «il trattamento di dati personali relativi a condanne penali e a reati o a connesse misure di sicurezza è consentito se autorizzato da una norma di legge o, nei casi previsti dalla legge, di regolamento, riguardanti, in particolare: [omissis] g) l'esecuzione di investigazioni o le ricerche o la raccolta di informazioni per conto di terzi ai sensi dell'articolo 134 del testo unico delle leggi di pubblica sicurezza».

Si ricorda, infine, che il rispetto delle Regole Deontologiche si pone come condizione essenziale per la liceità e la correttezza del trattamento dei dati personali nel contesto delle investigazioni difensive o per far valere o difendere o difendere un diritto in sede giudiziaria, come espressamente richiamato all'art. 2-quater del Codice Privacy.

Limitazioni ai diritti degli interessati

Fra le varie disposizioni introdotte al Codice Privacy a seguito dell'adeguamento al Regolamento, bisogna segnalare l'art. 2-undecies, il quale introduce una serie di limitazioni circa l'esercizio dei diritti da parte degli interessati, prevedendo espressamente che «I diritti di cui agli artt. da 15 a 22 del Regolamento non possono essere esercitati con richiesta al titolare del trattamento ovvero con reclamo ai sensi dell'artt. 77 del Regolamento qualora dall'esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto: [omissis] e) allo svolgimento delle investigazioni difensive o all'esercizio di un diritto in sede giudiziaria».

Tale disposizione si pone, dunque, a garanzia del buon andamento delle investigazioni stabilendo che è possibile limitare l'esercizio dei diritti da parte degli interessati quando, fra le altre cose, ciò possa di fatto pregiudicare lo svolgimento delle investigazioni difensive, ovvero l'esercizio di un diritto in sede giudiziaria.

Conservazione e cancellazione dei dati personali

L'art. 10 delle Regole Deontologiche stabilisce che l'investigatore privato possa conservare i dati personali trattati nell'esercizio delle sue funzioni per un periodo non superiore a quello strettamente necessario allo svolgimento dell'incarico ricevuto, nel pieno rispetto dell'art. 5 del Regolamento (che, fra le altre cose, richiama i principi di minimizzazione e limitazione della conservazione, oltre che di accountability).

In aggiunta, le Regole Deontologiche prevedono anche che la pendenza del procedimento a cui l'investigazione è collegata, ovvero il passaggio ad altre fasi di giudizio in attesa della formazione del giudicato, non costituiscono, di per se stessi, una giustificazione valida per la conservazione dei dati personali da parte dell'investigatore privato.

L'investigatore privato è quindi chiamato a verificare costantemente, anche mediante controlli periodici, la stretta pertinenza, non eccedenza e indispensabilità dei dati personali trattati rispetto alle finalità perseguite e all'incarico conferito.

Una volta conclusa la specifica attività investigativa, il trattamento dovrà poi cessare in ogni sua forma, «fatta eccezione per l'immediata comunicazione al difensore o al soggetto che ha conferito l'incarico, i quali possono consentire, anche in sede di mandato, l'eventuale conservazione temporanea di materiale strettamente personale dei soggetti che hanno curato l'attività svolta, ai soli fini dell'eventuale dimostrazione della liceità, trasparenza e correttezza del proprio operato.».

Sanzioni

Sulla base di quanto previsto dall'art. 166 del Codice Privacy, il mancato rispetto delle disposizioni contenute nelle Regole Deontologiche è punito ai sensi dell'art. 83, paragrafo 5, del Regolamento, che prevede la sanzione amministrativa pecuniaria fino a 20 milioni di euro, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore.

Conclusioni

Bisogna segnalare che sulla base del Provvedimento n. 512/2018 il Garante ha effettuato un intervento prevalentemente di “armonizzazione” rispetto al Regolamento, piuttosto che di “innovazione”.

Non a caso, infatti, in questa “prima fase” di attuazione della nuova normativa a livello europeo, l'intervento di adeguamento del Garante si è principalmente soffermato sull'analisi delle disposizioni del vecchio Codice Deontologico e sulla loro compatibilità con i principi e le definizioni del Regolamento (UE) 2016/679: le disposizioni ritenute compatibili sono state confermate e, ove necessario, adeguate; mentre, invece, le disposizioni incompatibili sono state abrogate.

E ciò ha inevitabilmente messo in luce la complessità di alcune questioni applicative che, come si è avuto modo di evidenziare, restano tutt'ora apparentemente irrisolte, necessitando pertanto di un ulteriore intervento dello stesso Garante.

Si auspica, dunque, una “seconda fase” di intervento da parte del Garante, al fine di operare una vera e propria revisione delle disposizioni presenti nelle Regole Deontologiche, prevedendo, ove necessario, ulteriori misure di garanzia e tutela per i diritti e le libertà degli individui con riferimento al trattamento dei loro dati personali, oltre che misure maggiormente chiare per chi è chiamato a svolgere le attività investigative.